Ontem (17), o site especializado em tecnologia Tecmundo divulgou um alerta de que senhas dos principais sites do varejo brasileiro tinham vazado. A notícia causou alvoroço, mas, ao que tudo indica, foi exagerada. A Gazeta do Povo investigou algumas pontas soltas e traz uma análise do caso.
LEIA MAIS notícias de negócios e tecnologia
A reportagem original falava em um arquivo de texto com 200 logins e senhas de sites como Magazine Luiza (maior número de credenciais), Ponto Frio, Extra e Centauro, além de algumas do serviço de carteira digital Pagseguro e do e-mail Bol. Mais tarde, a matéria foi atualizada, elevando o número de contas para 360. Além de e-mails e senhas, algumas informações extras como CPF e estado, dependendo da loja, também aparecem na lista. O arquivo foi encontrado pela empresa Antecipe, que alertou o Tecmundo.
Algumas características do arquivo afastam o caso de um possível vazamento, segundo André Alves, conselheiro técnico da empresa de segurança digital Trend Micro Brasil. Quando vazamentos acontecem, costumam ser de apenas um site e retornar grandes volumes de contas comprometidas. No caso relatado, trata-se de 360 contas espalhadas por nove sites/serviços.
Excluindo a hipótese de vazamento, que também foi negada por algumas empresas que constam na lista (veja abaixo), outras duas, mais fortes, despontam. A primeira é a utilização de alguma técnica de phishing, páginas de sites falsas que imitam as reais ou prometem vantagens nos referidos sites a fim de capturar dados legítimos – mais ou menos como aqueles já famosos golpes do WhatsApp.
A outra é um trabalho de cruzamento de bancos de dados vazados com sites brasileiros. Vez ou outra, algum grande site internacional tem seus dados realmente vazados. O Yahoo, por exemplo, expôs dados de quase meio bilhão de contas em 2012; o site de relacionamentos extraconjugais Ashley Madison, cerca de 11 milhões de senhas em 2015.
Esse cruzamento permitiria detectar usuários que têm o hábito de repetir senhas em diversos sites. Como notou Paulo Higa, do site Tecnoblog, o formato da lista de credenciais condiz com essa hipótese:
“O Tecnoblog apurou ainda que as listas estão em um formato peculiar, com itens separados por pipes (‘|’) e apresentando aspas ou maiúsculas em itens específicos. Essa formatação é adotada por uma ferramenta utilizada por hackers que verifica automaticamente, dado um banco existente de logins e senhas, quais são validadas em quais sites.”
De qualquer forma, a quantidade de perfis é ínfima para gerar um alerta generalizado, ainda que as senhas sejam legítimas, conforme apurado pela reportagem. Alguns dos nove sites chegam a exibir apenas 15 logins e senhas. E, pelas vítimas com quem conseguimos falar, aparentemente as origens do problema são distintas e indeterminadas.
O que dizem as vítimas
A Gazeta do Povo entrou em contato com algumas vítimas para buscar alguma ligação entre elas. A maioria das que responderam se disseram surpresas com o ocorrido. Algumas relataram tentativas de compras em seus cadastros e todas são recentes, posteriores ao aparecimento do primeiro banco de dados no Pastebin, datado de 28 de junho deste ano.
Duas relataram tentativas de compras no site da Amazon, que não consta entre as credenciais divulgadas. Uma terceira falou que corridas indevidas foram feitas em sua conta da Uber. Outro informou que celulares foram comprados em seu nome na Casas Bahia e endereçados a um destinatário no Rio de Janeiro.
Não foi possível, porém, descobrir um ponto comum em todos esses casos, o que confirmaria o método utilizado para a captura dos dados comprometidos. Alves comentou que é realmente difícil encontrar o ponto comum que tenha permitido a captura dos logins e senhas.
Usamos, ainda, a ferramenta Have I Been Pwned? para tentar encontrar relações entre as vítimas. Ela cruza um e-mail fornecido com bancos de dados de vazamentos conhecidos e arquivos do Pastebin, plataforma de compartilhamento de arquivos em texto muito utilizada para a divulgação de dados comprometidos e que também foi usada nesse caso.
Não existe nenhum vazamento comum entre os escolhidos aleatoriamente. Porém, todos apontam para arquivos específicos no Pastebin, sendo o primeiro datado de 28 de junho e publicado anonimamente. Ele contém 1014 logins e senhas, número bem maior que o de 360 do arquivo citado pelo Tecmundo , mas sem atribuição a sites/lojas específicos.
Outras listas trazem a distinção. Além do de 360 contas, foram encontradas outras listas segmentadas, todas essas criadas pelo usuário “GHG_BR”. Há referências a lojas virtuais, serviços de e-mail e até um de hospedagem de sites, o Hostgator (porém esse com apenas um login e senha). É provável que essa pessoa ou grupo tenha testado manualmente os e-mails do arquivo original, aquele com 1014 senhas de 28 de junho, em um conjunto de sites e compilado essas listas segmentadas. A publicação delas foi feita entre 9 e 15 de julho.
As empresas e a Antecipe
Procuradas pela Gazeta do Povo, as empresas citadas pelo Tecmundo e que constam no arquivo de credenciais comprometidas negaram invasões a seus servidores.
Centauro:
“A Centauro afirma que as informações de seus clientes estão asseguradas na base de dados da empresa, a qual não sofreu qualquer tipo de ataque. A companhia garante ainda que sua loja virtual é um site seguro e seus clientes podem seguir contando com o comprometimento da empresa na proteção de seus dados.”
Via Varejo (Casas Bahia, Extra e PontoFrio):
“A Via Varejo, responsável pela administração dos sites Casas Bahia, Pontofrio e Extra, esclarece que nenhum dos seus sistemas sofreu invasão ou alterações e reforça que segue as melhores práticas de segurança da informação adotadas no país.”
Netshoes:
"A Netshoes informa que não sofreu ataque à sua base de dados e que as informações de seus clientes cadastrados seguem em segurança. A preocupação com segurança de dados é um tema recorrente na companhia e a Netshoes reforça seu compromisso em garantir a proteção das informações de seus clientes."
PagSeguro:
O PagSeguro esclarece que não houve quebra de sigilo de nenhum dado de seus clientes. É falsa a informação veiculada em redes sociais. O PagSeguro reforça ainda que disponibiliza ambiente seguro para as transações e que também ajuda seus clientes na prevenção de fraudes na internet, por meio de um material educativo disponível em https://pagseguro.uol.com.br/dicas-de-seguranca-online.jhtml."
Também conversamos com os responsáveis da Antecipe, a empresa que se define como “uma plataforma de educação para usuários de empresas”, com simulações para que gerentes de tecnologia da informação treine e eduque usuários, e que informou ao Tecmundo a existência do arquivo com 360 contas comprometidas.
Por conversa via mensagens de texto, a Antecipe alegou que tem “um laboratório de ameaças que fica observando na Internet diversas fontes e ataques e credenciais vazadas” e que apenas encontrou o arquivo de credenciais, não sendo responsável por ele.
Diferentemente da manchete veiculada pelo Tecmundo, a Antecipe afirmou que não acredita se tratar de um vazamento: “o mais provável é que usuários tenham sido enganados por phishings que se faziam passar pelos sites/serviços e devido à falta de atenção eles digitaram seus usuários e senhas em sites falsos. Permitindo que fossem capturados indevidamente”, disse.
Questionados sobre como tiveram conhecimento a essas credenciais, representantes da Antecipe não quiseram responder.
A Antecipe é sediada em Goiânia e foi fundada, há menos de um ano, por Renoir dos Reis e dois amigos dele, Igor Rincon e Antonio Luiz. Ele ganhou notoriedade em abril, quando conseguiu desvendar alguns escritos codificados de Bruno Borges, estudante acriano que desapareceu deixando, em seu quarto, uma série de livros e escritos enigmáticos. Um desses códigos teria sido baseado no Manual do Escoteiro Mirim, livro infantil da Disney com aventuras dos sobrinhos do Pato Donald.
Há motivo para pânico?
Não. Senhas comprometidas por ataques de phishing são bem diferentes de vazamentos – além do alcance muito menor, na maioria das vezes os ataques desse tipo dependem de alguma ação inadvertida da vítima para serem realizados com sucesso. Um vazamento, pelo contrário, é um ataque ao servidor do serviço/site, o que não ocorreu nesse caso.
A recomendação de André Alves, da Trend Micro Brasil, é atenção: “desconfiar por padrão de qualquer coisa é a postura mais correta na Internet. Links, mensagens de texto, notificações… não clique, principalmente se for algo muito chamativo e tiver relação com assuntos do dia. Os atacantes contextualizam muito bem seus golpes, estão atentos ao que chama a atenção das pessoas”.
Outra dica do especialista é usar um “cofre de senha”, aplicativos como o LastPass e 1Password que gerenciam e criam senhas fortes automaticamente, sem repeti-las em vários sites, além de lembrar o usuário de trocá-las periodicamente. Em outras palavras, esses apps automatizam orientações básicas referentes a senhas.
Por fim, verifique seu e-mail no Have I Been Pwned? e assinar o recebimento de inclusões futuras por e-mail. É uma boa maneira de saber se alguma conta sua foi exposta e, se sim, tomar providências como alterar a senha.
Colaborou Jéssica Sant’Ana.
Moraes eleva confusão de papéis ao ápice em investigação sobre suposto golpe
Indiciamento de Bolsonaro é novo teste para a democracia
Países da Europa estão se preparando para lidar com eventual avanço de Putin sobre o continente
Ataque de Israel em Beirute deixa ao menos 11 mortos; líder do Hezbollah era alvo